LA SICUREZZA NELLE RETI INFORMATICHE

Transcript

1 Regione Puglia POR Puglia Misura 6.4: Risorse umane e società dell informazione Azione a) Formazione specifica per la P.A, Progetto approvato con D.D. n. 172 del 28/12/06 POR Puglia Complemento di Programmazione, Avviso pubblico n. 11/2006 per la presentazione di progetti per attività cofinanziate dal FSE, dallo Stato e dalla Regione Puglia DISPENSA LA SICUREZZA NELLE RETI INFORMATICHE Aspetti Organizzativi, Tutela Civile e Penale, Sistemi e Soluzioni Tecniche Associazione Temporanea di Scopo As. UNISCO Network per lo sviluppo locale e Studiodelta srl 1-I

2 INDICE GENERALE Sicurezza Informatica e Crittografia Minacce alla sicurezza, attacchi e vulnerabilità INTRODUZIONE CALAMITÀ NATURALI MINACCE UMANE Metodi, strumenti e tecniche per gli attacchi ATTACCHI = MOTIVO + METODO + VULNERABILITÀ Vulnerabilità nella sicurezza PASSWORD PROGETTAZIONE DEL PROTOCOLLO Aggressori esterni o "cracker" DIPENDENTI NON MALINTENZIONATI ELIMINAZIONE E ALTERAZIONE DELLE INFORMAZIONI FURTO DI INFORMAZIONI O FRODE METODI, STRUMENTI E TECNICHE PER GLI ATTACCHI INTRUSIONI TRAMITE POSTA ELETTRONICA SOCIAL ENGINEERING ATTACCHI INTRUSIVI ATTACCHI DI NEGAZIONE DI SERVIZIO CONSUMO DI RISORSE DEL SERVER SATURAZIONE DELLE RISORSE DELLA RETE SATURAZIONE CON POSTA Attacchi con virus BREVE CRONISTORIA FUNZIONAMENTO DEI VIRUS TROJAN HORSE WORM Analisi degli Attacchi SOCIAL ENGINEERING ACQUISIZIONE DI INFORMAZIONI SFRUTTAMENTO DI RELAZIONI DI FIDUCIA MAL GESTITE SFRUTTAMENTO DI SERVIZI NON AUTENTICATI SPOOFING SFRUTTAMENTO DI BUGS NEL SOFTWARE DENIAL OF SERVICE Aspetti Legali II

3 7.1 PRINCIPALI ARTICOLI DI LEGGE SUGLI ATTACCHI INFORMATICI Dlgs 196/03 e DPS QUADRO GENERALE LE MISURE IDONEE DI SICUREZZA La natura dei dati e le caratteristiche del trattamento La classificazione delle misure di sicurezza L aggiornamento delle misure di sicurezza Il risarcimento per danni I danni patrimoniali Il danno non patrimoniale Le regole per i fornitori di servizi di comunicazione elettronica LE MISURE MINIME DI SICUREZZA L aggiornamento delle misure minime Le sanzioni penali per la omessa adozione delle misure minime L evoluzione delle sanzioni Il ravvedimento operoso I soggetti interessati Definizione di compiti, ruoli e procedure IL TITOLARE DEL TRATTAMENTO IL RESPONSABILE DEL TRATTAMENTO Chi nominare responsabile Il responsabile per la sicurezza L amministratore di sistema L INCARICATO DEL TRATTAMENTO Chi può essere incaricato Le prescrizioni in termini di sicurezza Il preposto alla custodia delle parole chiave Il soggetto incaricato della manutenzione del sistema Il custode dell archivio ad accesso controllato LA PREDISPOSIZIONE E L AGGIORNAMENTO DEL MANSIONARIO PRIVACY Le coordinate per definire le misure minime di sicurezza LA NATURA DEI DATI TRATTATI Le procedure per la classificazione dei dati GLI STRUMENTI UTILIZZATI PER IL TRATTAMENTO L evoluzione per i trattamenti effettuati con mezzi elettronici L ELENCO DEI TRATTAMENTI DI DATI PERSONALI La banca dati dei sistemi informativi L analisi dei rischi VALUTAZIONE DELLE MINACCE L IMPATTO DEGLI EVENTI NEGATIVI LA GESTIONE DEI RISCHIO I trattamenti senza l ausilio di strumenti elettronici III

4 12.1 L AFFIDAMENTO AGLI INCARICATI E LA CUSTODIA DI ATTI E DOCUMENTI L ARCHIVIAZIONE DI ATTI E DOCUMENTI I SUPPORTI NON INFORMATICI I trattamenti con strumenti elettronici ADOZIONE DI UN SISTEMA DI AUTENTICAZIONE INFORMATICA ADOZIONE DI UN SISTEMA DI AUTORIZZAZIONE MISURE DI PROTEZIONE E PER IL RIPRISTINO DEI DATI La protezione di strumenti e dati Virus e programmi analoghi: approfondimenti Il controllo sullo stato della sicurezza Le procedure per il ripristino dei dati Dal salvataggio dei dati al piano di continuità operativa CUSTODIA ED USO DEI SUPPORTI RIMOVIBILI IL DOCUMENTO PROGRAMMATICO SULLA SICUREZZA La protezione di aree e locali Gli interventi formativi degli incaricati L introduzione e diffusione della cultura della sicurezza La sicurezza nella trasmissione dei dati ULTERIORI PRESCRIZIONI PER GLI ORGANISMI SANITARI IL CERTIFICATO DI CONFORMITÀ I dati personali affidati dal titolare all esterno I POSSIBILI CRITERI LE CLAUSOLE CONTRATTUALI Il documento programmatico sulla sicurezza: come redigerlo LA DUPLICE NATURA DEL DOCUMENTO PROGRAMMATICO L APPROVAZIONE DEL DOCUMENTO DOCUMENTO PROGRAMMATICO SULLA SICUREZZA Elenco dei trattamenti di dati personali Caratteristiche delle aree, dei locali, degli strumenti con cui si effettuano i trattamenti Analisi dei rischi che incombono sui dati Misure da adottare per garantire l integrità e la disponibilità dei dati Criteri e modalità di ripristino dei dati, in seguito a distruzione o danneggiamento Analisi del mansionario privacy e degli interventi formativi degli incaricati L affidamento di dati personali all esterno Controllo generale periodico sullo stato della sicurezza La mappa delle misure minime di sicurezza L EVOLUZIONE DELLA MAPPA DELLE MISURE MINIME DI SICUREZZA IL RAPPORTO TRA LE DIVERSE CLASSI DI SICUREZZA IV

5 17 Il periodo transitorio IL DIFFERIMENTO DEL TERMINE GENERALE IL PARTICOLARE DIFFERIMENTO A MARZO Entro il 31 dicembre 2004: redazione del documento avente data certa Il rapporto con il Documento programmatico sulla sicurezza Pianificazione della sicurezza Proattiva INTRODUZIONE SVILUPPO DI CONTROLLI E CRITERI DI PROTEZIONE TIPI DI CRITERI DI PROTEZIONE CRITERI PER LE PASSWORD RESPONSABILITÀ AMMINISTRATIVE RESPONSABILITÀ DEGLI UTENTI CRITERI PER LA POSTA ELETTRONICA CRITERI PER INTERNET CRITERI PER IL BACKUP E IL RIPRISTINO ARCHIVIAZIONE DEI BACKUP IN SEDE E FUORI SEDE Risposta agli incidenti CASE STUDY Sistemi Crittografici ACCESSO PROTETTO, DATI PROTETTI E CODICE PROTETTO INFRASTRUTTURE A CHIAVE PUBBLICA FIRME DIGITALI SECURE SOCKETS LAYER (SSL) PROTEZIONE DELLA POSTA ELETTRONICA CRITTOGRAFIA DEL FILE SYSTEM AUTENTICAZIONE AUTENTICAZIONE KERBEROS AUTENTICAZIONE NTLM SMART CARD PROTEZIONE DEL CODICE TECNOLOGIE PER PROTEGGERE LA CONNETTIVITÀ DELLA RETE FIREWALL STRUMENTI PER RILEVARE LE INTRUSIONI ANTIVIRUS CONTROLLO EVENTI DA CONTROLLARE Bibliografia V

6 Sicurezza Informatica e Crittografia 1 Minacce alla sicurezza, attacchi e vulnerabilità 1.1 Introduzione Le informazioni costituiscono la risorsa più importante nella maggior parte delle organizzazioni. Le società in grado di gestire le informazioni in modo ottimale accrescono la propria competitività. La minaccia proviene da coloro che desiderano acquisire le informazioni o limitare le opportunità di lavoro interferendo nei normali processi aziendali. Scopo di una corretta strategia di sicurezza è proteggere le informazioni importanti e riservate dell'organizzazione, rendendole contemporaneamente disponibili senza difficoltà. Gli aggressori che tentano di danneggiare un sistema o di ostacolare lo svolgimento delle normali attività aziendali approfittano delle vulnerabilità con tecniche, metodi e strumenti differenti. Per sviluppare misure e criteri che consentano di proteggere le risorse e renderle meno vulnerabili, gli amministratori del sistema devono comprendere i diversi aspetti relativi alla sicurezza. prova Gli aggressori hanno generalmente delle ragioni o degli obiettivi, ad esempio ostacolare le normali attività dell'azienda o sottrarre informazioni. Per raggiungere questi scopi, utilizzano tecniche, metodi e strumenti differenti che sfruttano vulnerabilità presenti nel sistema, nei controlli o nei criteri di sicurezza. Obiettivo + Metodo + Vulnerabilità = Attacco Questi aspetti verranno descritti in maggiore dettaglio più avanti in questa stessa sezione. 1

7 La Figura 1 introduce uno schema utilizzabile per scongiurare minacce alla sicurezza in aree differenti. 1.2 Calamità naturali Nessuno può impedire il verificarsi di calamità naturali. Terremoti, tempeste, inondazioni, fulmini e incendi possono causare danni gravi ai computer, che possono risultare in perdita di informazioni, tempi di inattività o perdite di produttività. I danni all'hardware possono inoltre danneggiare altri servizi essenziali. Le difese che è possibile predisporre contro le calamità naturali non sono molte. L'approccio migliore consiste nel preparare in anticipo dei piani di ripristino e di emergenza. In questa categoria rientrano anche minacce quali sommosse, guerre e attacchi terroristici. Anche se hanno origine umana, sono classificate come calamità. 1.3 Minacce umane Le minacce intenzionali comprendono attacchi interni effettuati da dipendenti scontenti o malintenzionati e attacchi esterni da parte di utenti non dipendenti allo scopo di creare problemi o danneggiare un'organizzazione. Gli aggressori più pericolosi sono in genere gli utenti interni o gli ex dipendenti perché conoscono molti dei codici e delle misure di sicurezza utilizzate. Gli utenti interni hanno probabilmente obiettivi specifici e sono autorizzati ad accedere al sistema. I dipendenti sono gli utenti che conoscono meglio i computer e le applicazioni dell'organizzazione e le operazioni da compiere per causare i danni più gravi. Gli utenti interni possono collocare virus, trojan horse o worm e spostarsi all'interno del file system. L'attacco dall'interno può interessare tutti i componenti di sicurezza del computer. Essendo autorizzati a spostarsi all'interno del sistema, gli utenti interni possono infatti individuare e divulgare informazioni riservate. I trojan horse rappresentano una minaccia sia per l'integrità che per la riservatezza delle informazioni. Gli attacchi dall'interno possono interessare la 2

8 disponibilità, sovraccaricando la capacità di archiviazione o di elaborazione del sistema o causando il blocco del sistema. Questi individui vengono spesso chiamati "cracker" o "hacker". La definizione di "hacker" è cambiata nel corso degli anni. Inizialmente "hacker" era chi si impegnava per ottenere il massimo possibile dal sistema che utilizzava, utilizzando tutte le parti di un sistema e studiandole fino a diventare esperto in tutti i dettagli. Queste persone rappresentavano una fonte di informazioni per gli altri utenti di computer e venivano considerati quasi dei "guru" o "maghi". Ora, tuttavia, il termine "hacker" indica persone che penetrano con la forza nei sistemi o oltrepassano intenzionalmente e senza permesso i confini loro assegnati in un sistema. 3

9 Il termine corretto da utilizzare per indicare coloro che si introducono nei sistemi senza autorizzazione è "cracker". I metodi più utilizzati per riuscire ad accedere a un sistema comprendono l'identificazione delle password, che sfrutta le vulnerabilità nella sicurezza note, lo "spoofing" della rete e il "social engineering". Gli aggressori intenzionali hanno in genere un obiettivo o una ragione specifica per attaccare un sistema. Lo scopo potrebbe essere quello di interrompere i servizi e le attività aziendali utilizzando strumenti di attacco volti alla negazione di servizio (DoS, Denial of Service). Potrebbero anche sottrarre informazioni o persino hardware, ad esempio dei portatili. Gli hacker possono quindi vendere informazioni utili ai concorrenti. Nel 1996 fu rubato da un dipendente di Visa International un portatile contenente account di carte di credito. Per annullare i numeri e sostituire le carte, Visa spese una cifra pari a circa 13 miliardi di lire. Un'organizzazione può essere danneggiata non soltanto tramite attacchi dolosi. La minaccia principale all'integrità dei dati proviene da utenti autorizzati che non si rendono conto delle operazioni che effettuano. Errori e omissioni possono causare la perdita, il danneggiamento o l'alterazione di dati importanti. Le minacce involontarie provengono in genere da dipendenti non esperti di computer e non consapevoli delle vulnerabilità e delle minacce alla sicurezza. Gli utenti che aprono, modificano e salvano i documenti di Microsoft Word utilizzando Blocco note causano ad esempio danni gravi alle informazioni che vi sono contenute. Gli utenti, gli addetti all'immissione dei dati, gli operatori di sistema e i programmatori commettono frequentemente errori involontari che contribuiscono ad aggravare, direttamente o indirettamente, i problemi relativi alla sicurezza. Una minaccia può ad esempio essere costituita da un errore di immissione dati o di programmazione, che può causare l'arresto anomalo del sistema. In altri casi, gli errori creano vulnerabilità. Si possono verificare errori durante tutte le fasi del ciclo di vita del sistema. 4

10 La Figura descrive un modello teorico su cui è possibile basarsi per determinare le minacce, gli obiettivi, i metodi e le vulnerabilità differenti utilizzate in un attacco. La tabella seguente fornisce alcuni esempi dei vari aspetti illustrati in precedenza. Minacce Ragioni/Obiettivi Metodi Criteri di sicurezza Dipendenti Malintenzionati Inesperti Non dipendenti Aggressori esterni Calamità naturali Inondazioni Terremoti Tempeste Sommosse e guerre Negare i servizi Sottrarre informazioni Alterare le informazioni Danneggiare le informazioni Eliminare le informazioni Fare uno scherzo Mettersi in mostra Social engineering Virus, trojan horse e worm Riproduzione dei pacchetti Modifica dei pacchetti Spoofing degli indirizzi IP Saturazione con posta Vari strumenti propri degli hacker Identificazione delle password Vulnerabilità Risorse Informazioni e dati Produttività Hardware Personale 5

11 Si tenga presente che i dipendenti inesperti non hanno generalmente ragioni o scopi per causare danni. Il danno è accidentale. Inoltre, gli aggressori malintenzionati possono ingannare tali dipendenti utilizzando il "social engineering" per ottenere l'accesso. L'aggressore potrebbe fingersi un amministratore e richiedere nomi utente e password. I dipendenti che non sono stati preparati e che non sono consapevoli dei problemi relativi alla sicurezza possono non riconoscere l'inganno e fornire le informazioni richieste. La sicurezza fisica e l'integrità e riservatezza dei dati sono strettamente collegate. Infatti, l'obiettivo di alcuni attacchi non è la distruzione fisica del sistema, ma l'intrusione e la rimozione o la copia di informazioni importanti. Gli aggressori agiscono per soddisfazione personale o per avere una ricompensa. Di seguito sono riportati alcuni dei metodi utilizzati dagli aggressori: Eliminazione e alterazione di informazioni. Gli attacchi dolosi sono in genere provocati da utenti che eliminano o alterano le informazioni per dimostrare qualcosa o per vendicarsi di un torto subito. Gli attacchi interni sono causati da utenti generalmente spinti da rancore nei confronti dell'organizzazione perché sono scontenti di qualcosa. Gli aggressori esterni, invece, possono introdursi in un sistema solo per il gusto di farlo o perché desiderano dimostrare la propria abilità. Furto di informazioni o frode. Le tecnologie informatiche vengono utilizzate sempre più frequentemente per commettere frodi e furti. I sistemi di computer possono essere violati in molti modi, sia con versioni automatizzate dei metodi tradizionali di frode che con metodi nuovi. I sistemi finanziari non sono i soli a essere oggetto di frodi. Altri obiettivi sono i sistemi che controllano l'accesso a qualsiasi risorsa, ad esempio i sistemi per il controllo delle presenze e degli orari, per la gestione del magazzino, per la valutazione scolastica o per le chiamate interurbane. Interruzione delle normali attività aziendali. È possibile che gli attacchi mirino a interrompere le normali attività aziendali. In circostanze come queste, l'aggressore ha un obiettivo specifico da raggiungere. Gli aggressori utilizzano vari metodi per sferrare attacchi di negazione di servizio, descritti nella sezione dedicata ai metodi, agli strumenti e alle tecniche per gli attacchi. 6

12 2 Metodi, strumenti e tecniche per gli attacchi 2.1 Attacchi = motivo + metodo + vulnerabilità Il metodo in questa formula sfrutta la vulnerabilità dell'organizzazione per sferrare un attacco come mostrato nella Figura 2. Gli aggressori intenzionali possono ottenere l'accesso o negare i servizi utilizzando alcune delle strategie elencate di seguito: Virus. Gli aggressori possono creare codice nocivo denominato virus. Utilizzando tecniche di intrusione, possono penetrare nei sistemi e collocare dei virus. I virus rappresentano generalmente una minaccia per qualsiasi ambiente. Si presentano in forme differenti e anche quando non sono dannosi sono sempre costosi in termini di tempo. Si possono diffondere anche tramite posta elettronica e dischetti. Trojan horse (cavalli di troia). Si tratta di codice o di un programma dannoso nascosto all'interno di ciò che sembra un programma normale. Quando un utente avvia il programma normale, viene eseguito anche il codice nascosto. Può causare l'eliminazione di file e altri danni. I trojan horse si diffondono in genere tramite gli allegati di posta elettronica. Il virus Melissa, che ha provocato attacchi di negazione di servizio in tutto il mondo nel 1999, è un tipo di trojan horse. Worm. Sono programmi che vengono eseguiti indipendentemente e che si spostano da un computer all'altro attraverso le connessioni di rete. Alcune parti di worm possono essere in esecuzione su computer differenti. Anche se non modificano altri programmi, possono diffondere codice con questo scopo. Identificazione delle password (Password cracking). È una tecnica utilizzata dagli aggressori per accedere di nascosto al sistema tramite l'account di un altro utente. Ciò si può verificare perché gli utenti selezionano spesso password facilmente determinabili. Le password non sono efficaci se possono essere indovinate facilmente basandosi sulla conoscenza dell'utente, ad esempio il cognome da nubile della moglie, e se possono essere individuate tramite dizionario (esistono appositi software che utilizzano un dizionario di parole per cercare di indovinare la password di un utente). Attacchi di negazione di servizio (Denial of service attacks). Questo tipo di attacco sfrutta l'esigenza di rendere sempre disponibile un servizio ed è sempre più diffuso su Internet, perché i siti Web sono in genere porte aperte pronte a essere violate. Gli utenti possono facilmente saturare di comunicazioni il server Web per tenerlo occupato. Le società connesse a Internet devono quindi prepararsi ad 7

13 attacchi DoS. Tali attacchi sono difficili da analizzare e permettono di essere assoggettati ad altri tipi di attacchi. Intrusioni tramite posta elettronica ( hacking). La posta elettronica è una delle funzionalità di Internet più diffuse. Accedendo alla posta elettronica Internet è possibile comunicare con milioni di utenti in tutto il mondo. Di seguito sono elencate alcune delle minacce associate alla posta elettronica: Assunzione di identità fittizia. L'indirizzo del mittente della posta elettronica Internet non può essere considerato attendibile perché è possibile che venga utilizzato un indirizzo mittente falso. L'intestazione potrebbe essere stata modificata durante il percorso o il mittente potrebbe essersi connesso direttamente alla porta SMTP (Simple Mail Transfer Protocol) sul computer di destinazione per immettere la posta. Trafugamento di informazioni (Eavesdropping). Se non viene utilizzata alcuna crittografia, le intestazioni e il contenuto della posta elettronica vengono trasmesse in chiaro. Il contenuto di un messaggio può quindi essere letto o alterato durante il percorso. L'intestazione può essere modificata per nascondere o cambiare il mittente o per reindirizzare il messaggio. Riproduzione dei pacchetti (Packet replay). Significa la registrazione e la ritrasmissione dei pacchetti dei messaggi sulla rete. La riproduzione dei pacchetti rappresenta una minaccia significativa per i programmi che richiedono sequenze di autenticazione, perché un intruso potrebbe riprodurre i messaggi di sequenze di autenticazione legittime per ottenere l'accesso a un sistema. La riproduzione dei pacchetti, in genere, non è rilevabile, ma può essere impedita utilizzando indicazioni dell orario sui pacchetti (timestamp) e numerando la sequenza di pacchetti. Modifica dei pacchetti (Packet modification. Si riferisce a un sistema che intercetta e modifica un pacchetto destinato a un altro sistema, per modificare o distruggere le informazioni contenute nel pacchetto. Social engineering. È una forma di intrusione comune. Può essere utilizzata da utenti esterni o interni all'organizzazione. Il termine "social engineering" indica il tentativo degli hacker di indurre gli utenti a rivelare le password o altri tipi di informazioni di sicurezza. Attacchi intrusivi (intrusion attack). Per ottenere l'accesso ai sistemin, un hacker utilizza vari strumenti di intrusione, quali strumenti per l'identificazione delle password a strumenti per la manipolazione e l'intrusione nei protocolli. Gli strumenti per il rilevamento delle intrusioni consentono spesso di rilevare modifiche e variazioni che si verificano all'interno dei sistemi e delle reti. Spoofing della rete. Un sistema si presenta alla rete come se fosse un altro (il computer A assume l'identità del computer B inviando l'indirizzo di B invece del proprio). Questo perché i sistemi tendono a funzionare all'interno di gruppi composti da altri sistemi trusted. La relazione di trust viene comunicata in modo biunivoco. Il computer A considera trusted il computer B (questo non implica che il sistema B consideri trusted il sistema A). Tale trust implica anche che 8

14 l'amministratore del sistema trusted effettui le operazioni in modo corretto e mantenga un livello di protezione appropriato per il sistema. Lo spoofing della rete si realizza nel modo seguente: se il computer A concede il trust al computer B e il computer C assume l'identità del computer B, il computer C può ottenere l'accesso altrimenti negato al computer A. 3 Vulnerabilità nella sicurezza 3.1 Password Come descritto in precedenza, un utente malintenzionato utilizza un metodo per approfittare delle vulnerabilità e raggiungere un obiettivo. Le vulnerabilità sono punti deboli o brecce nella sicurezza che un aggressore può sfruttare per avere accesso alla rete e alle relative risorse. Per vulnerabilità non si intende un attacco, ma un punto debole di cui si approfitta. Alcuni punti deboli sono: La selezione della password costituirà un punto controverso finché gli utenti dovranno sceglierne una. Il problema consiste in genere nel ricordare la password corretta tra le molte che devono essere utilizzate. Gli utenti finiscono per scegliere le password più comuni perché sono facili da ricordare. In genere vengono utilizzate le date di compleanno o i nomi dei propri cari. Questo crea una vulnerabilità perché gli estranei hanno ottime possibilità di indovinare la password corretta. 3.2 Progettazione del protocollo. I protocolli di comunicazione hanno a volte dei punti deboli, che possono essere utilizzati per ottenere informazioni e possibilmente accedere ai sistemi. Alcuni problemi noti sono: TCP/IP. Lo stack del protocollo TCP/IP ha alcuni punti deboli che consentono: Spoofing degli indirizzi IP Attacchi di richiesta di connessione TCP (SYN) Protocollo Telnet. Telnet può essere utilizzato per amministrare i sistemi che eseguono Microsoft Windows 2000 e Unix. Quando si usa il client telnet per connettersi da un sistema Microsoft a un sistema UNIX e viceversa, i nomi utente e le password vengono trasmesse senza crittografia. FTP (File Transfer Protocol). Come per Telnet, se il servizio FTP è in esecuzione e gli utenti devono inviare o recuperare le informazioni da 9

15 una posizione protetta, i nomi utente e le password vengono trasmesse senza crittografia. Comandi che rivelano informazioni sull'utente. Non è insolito riscontrare interoperabilità tra prodotti Microsoft e varie versioni di UNIX. I comandi che rivelano informazioni sugli utenti e sul sistema rappresentano una minaccia perché i cracker possono utilizzare tali informazioni per introdursi nel sistema. Eccone alcuni: Finger. L'utilità client finger su Microsoft Windows NT e Windows 2000 può essere utilizzata per connettersi a un servizio daemon finger in esecuzione su un computer basato su UNIX per visualizzare informazioni relative agli utenti. Quando il programma finger viene eseguito senza argomenti, vengono visualizzate informazioni su tutti gli utenti correntemente registrati nel sistema. Rexec. L'utilità rexec è disponibile come client su Microsoft Windows NT e Windows L'utilità client rexec consente l'esecuzione remota sui sistemi basati su UNIX che eseguono il servizio rexecd. Un client trasmette un messaggio specificando il nome utente, la password e il nome del comando da eseguire. Il programma rexecd è soggetto ad abusi perché può essere utilizzato per sondare un sistema allo scopo di individuare i nomi di account validi. Inoltre, le password vengono trasmesse sulla rete senza crittografia. ATM (Asynchronous Transfer Mode). La sicurezza può venire compromessa da ciò che viene chiamata "manipolazione delle bocche di accesso", ovvero dall'accesso diretto ai collegamenti e ai cavi della rete presenti nelle aree di parcheggio sotterranee e nei vani di corsa degli ascensori. Frame Relay. Simile al problema dell'atm. Amministrazione delle periferiche. Gli switch e i router sono facilmente gestibili tramite un'interfaccia HTTP o un'interfaccia della riga di comando. Se vengono utilizzate anche password deboli, ad esempio password pubbliche, chiunque sia dotato di conoscenze tecniche di base potrà assumere il controllo delle periferiche. Modem. I modem sono ormai diventate delle funzionalità standard su molti computer. Qualsiasi modem non autorizzato rappresenta un problema serio per la sicurezza. Gli utenti non li usano infatti solo per accedere a Internet, ma anche per connettersi al proprio ufficio quando lavorano da casa. Il problema è causato dal fatto che utilizzando un modem si aggira il "firewall" che protegge la rete dalle intrusioni esterne. Un hacker che utilizza un "war dialer" per identificare il numero di telefono del modem e un "password cracker" per determinare una password debole, può quindi avere accesso al sistema. A causa della natura delle reti di computer, un hacker che riesce ad accedere a un singolo computer è spesso in grado di connettersi a tutti gli altri computer della rete. 10

16 Per illustrare la teoria su cui si basano gli attacchi, sono disponibili i seguenti esempi tratti dalla vita reale. Esempio : minaccia involontaria (dipendenti inesperti). Un dipendente, qui definito Dario Nicoletti, copia giochi e altri eseguibili da un dischetto da 1,44 MB sul proprio disco rigido locale e li esegue. Sfortunatamente, i giochi contengono vari virus e trojan horse. L'organizzazione non ha ancora distribuito alcun antivirus. Dopo breve tempo, sui computer di Dario Nicoletti e di altri dipendenti iniziano a verificarsi degli eventi strani e imprevisti, che causano interruzioni di servizi e danneggiamento di dati. Nella figura seguente sono illustrate le varie vulnerabilità che erano presenti e la perdita delle risorse coinvolte. 11

17 Esempio: minaccia intenzionale (attacco doloso) Una dipendente chiamata qui Alessandra Moretti si vede rifiutare la promozione tre volte. Alessandra, che ha sempre lavorato molto, ritiene di non essere stata promossa in quanto troppo giovane. Alessandra è laureata in informatica e decide di dimettersi dalla società e di vendicarsi provocando l'interruzione dell'esecuzione delle richieste da parte del server Web della società. Per sferrare l'attacco al server Web della società, utilizza uno trumento di attacco di negazione di servizio denominato Trin00. La maggior parte delle attività commerciali della società sono condotte tramite e-commerce e i client lamentano di non potersi connettere al server Web. Il diagramma seguente descrive i vari strumenti e le diverse vulnerabilità sfruttate da Alessandra Moretti per raggiungere il proprio obiettivo. Figura 4 Si tenga presente che si tratta solo di un esempio. Le possibilità, gli strumenti, le vulnerabilità e i modi di contrastare l'attacco possono essere diversi. 12

18 Esempio: calamità naturali Un'organizzazione dispone di vari modem e di diversi router ISDN (Integrated Services Digital Network) e non è protetta dai picchi di tensione. Durante un temporale, i lampi colpiscono le linee del telefono e ISDN. Tutti i modem e i router ISDN vengono distrutti, coinvolgendo anche un paio di schede madri. Il diagramma seguente mostra la vulnerabilità e la perdita delle risorse. Figura 5 4 Aggressori esterni o "cracker" I "cracker" vengono spesso definiti "hacker". La definizione di "hacker" è cambiata nel corso degli anni. Inizialmente "hacker" era chi si impegnava per ottenere il massimo possibile dal sistema che utilizzava, utilizzando tutte le parti di un sistema e studiandole fino a diventare esperto in tutti i dettagli. Queste persone rappresentavano una fonte di informazioni per gli altri utenti di computer e venivano considerati quasi dei "guru" o "maghi". Ora, tuttavia, il termine "hacker" indica persone che penetrano con la forza nei sistemi o oltrepassano intenzionalmente e senza permesso i confini loro assegnati in un sistema. Il termine corretto da utilizzare per indicare coloro che si introducono nei sistemi senza autorizzazione è "cracker". I metodi più utilizzati per riuscire ad accedere a un sistema comprendono l'identificazione delle password, che sfrutta le vulnerabilità nella sicurezza note, lo "spoofing" della rete e il "social engineering". L'Appendice C contiene una descrizione dettagliata di questi metodi. 13

19 4.1 Dipendenti non malintenzionati Gli aggressori esterni non sono i soli utenti che possono danneggiare un'organizzazione. La minaccia principale all'integrità dei dati proviene da utenti autorizzati che non si rendono conto delle operazioni che effettuano. Errori e omissioni possono causare la perdita, il danneggiamento o l'alterazione di dati importanti. Gli utenti, gli addetti all'immissione dei dati, gli operatori dei sistemi e i programmatori commettono frequentemente errori involontari che contribuiscono ad aggravare, direttamente o indirettamente, i problemi relativi alla sicurezza. Una minaccia può ad esempio essere costituita da un errore di immissione dati o di programmazione, che può causare l'arresto anomalo del sistema. In altri casi, gli errori creano vulnerabilità. Si possono verificare errori durante tutte le fasi del ciclo di vita del sistema. Gli errori di progettazione e di programmazione, chiamati spesso "bug", possono essere di gravità diversa e risultare irritanti o catastrofici. I continui miglioramenti nella qualità del software hanno consentito la riduzione ma non l'eliminazione di questa minaccia. Problemi di sicurezza possono inoltre essere causati anche da errori di manutenzione e di installazione. Gli errori e le omissioni rappresentano importanti minacce all'integrità dei dati. Gli errori vengono commessi non solo dagli addetti all'immissione dei dati che elaborano centinaia di transazioni al giorno, ma anche dagli utenti che creano e modificano i dati. Molti programmi, specialmente quelli sviluppati dagli utenti per i PC, mancano di misure per il controllo della qualità. Tuttavia, nemmeno i programmi più avanzati possono rilevare tutti i tipi di omissioni o di errori di immissione. Gli utenti considerano spesso le informazioni che ricevono dai computer più accurate di quello che sono in realtà. Molte organizzazioni concentrano l'attenzione su errori e omissioni nella sicurezza dei rispettivi computer, nella qualità del software e nei programmi per il controllo della qualità dei dati. La sicurezza fisica e l'integrità e riservatezza dei dati sono strettamente collegate. Infatti, l'obiettivo di alcuni attacchi non è la distruzione fisica del sistema, ma l'intrusione e la rimozione o la copia di informazioni importanti. Gli aggressori agiscono per soddisfazione personale o per avere una ricompensa. 14

20 4.2 Eliminazione e alterazione delle informazioni Gli attacchi dolosi sono in genere provocati da utenti che eliminano o alterano le informazioni per dimostrare qualcosa o per vendicarsi di un torto subito. Gli attacchi interni sono causati da utenti generalmente spinti da rancore nei confronti dell'organizzazione perché sono scontenti di qualcosa. Gli aggressori esterni, invece, possono introdursi in un sistema solo per il gusto di farlo o perché desiderano dimostrare la propria abilità. 4.3 Furto di informazioni o frode Le tecnologie informatiche vengono utilizzate sempre più frequentemente per commettere frodi e furti. I sistemi di computer possono essere violati in molti modi, sia con versioni automatizzate dei metodi tradizionali di frode che con metodi nuovi. I sistemi finanziari non sono i soli a essere oggetto di frodi. Altri obiettivi sono i sistemi che controllano l'accesso a qualsiasi risorsa, ad esempio i sistemi per il controllo delle presenze e degli orari, per la gestione del magazzino, per la valutazione scolastica o per le chiamate interurbane. Gli utenti interni ed esterni possono commettere delle frodi. Gli utenti interni, che dispongono di autorizzazioni di accesso al sistema, perpetrano la maggioranza delle frodi scoperte sui sistemi. Gli utenti interni conoscono a fondo il sistema, le risorse da esso controllate e le relative pecche e si trovano quindi nella posizione migliore per commettere dei crimini. Anche gli ex dipendenti di un'organizzazione possono rappresentare una minaccia, in particolare se il relativo accesso non viene revocato rapidamente. Poiché molti computer sono relativamente piccoli e costosi, è semplice rubarli e rivenderli. Un'organizzazione deve quindi cercare di proteggere i propri investimenti in attrezzature con strumenti fisici quali serrature e catenacci. Se il computer viene rubato, le informazioni contenute saranno a disposizione del ladro, che potrebbe cancellarle, leggerle oppure vendere le informazioni riservate, utilizzarle per ricatti o per compromettere altri sistemi. Anche se è impossibile eliminare totalmente la possibilità di furti, è tuttavia possibile rendere le informazioni rubate virtualmente inutilizzabili, assicurandosi che vengano crittografate e che il ladro non disponga della chiave. I dati possono essere sottratti da un computer o persino manipolati all'insaputa del proprietario. È ad esempio possibile collegare un'unità Zip alla porta parallela del computer e copiare diversi megabyte di dati. 15

21 È possibile che gli aggressori mirino a interrompere le normali attività aziendali. L'attacco potrebbe essere sferrato per dispetto, ad esempio da un dipendente scontento che non desidera lavorare perché non è stato promosso. Gli aggressori esterni potrebbero invece interrompere i servizi per acquisire un vantaggio sulla concorrenza. È inoltre possibile che gli attacchi vengano sferrati solo per il gusto di farlo. In circostanze come queste, l'aggressore ha un obiettivo specifico da raggiungere. Tale azione potrebbe risultare gratificante o remunerativa. Gli aggressori utilizzano vari metodi per sferrare attacchi di negazione di servizio, descritti nella sezione dedicata ai metodi, agli strumenti e alle tecniche per gli attacchi. 4.4 Metodi, strumenti e tecniche per gli attacchi Gli aggressori intenzionali utilizzano metodi, strumenti e tecniche differenti per immettere, danneggiare e sottrarre informazioni da un sistema. 4.5 Intrusioni tramite posta elettronica I protocolli per il trasferimento della posta più diffusi, ovvero SMTP, POP3 e IMAP4, non prevedono solitamente misure per l'autenticazione affidabile integrate nel protocollo di base. Ciò facilita la contraffazione di messaggi di posta elettronica. Tali protocolli non richiedono nemmeno l'uso della crittografia, che potrebbe assicurare la privacy e la riservatezza dei messaggi. L'utilizzo delle estensioni esistenti a questi protocolli di base deve essere stabilito nell'ambito dei criteri che regolano l'amministrazione del server di posta. Alcune estensioni utilizzano strumenti di autenticazione stabiliti in precedenza, mentre altre consentono al client e al server di negoziare un tipo di autenticazione supportato da entrambi. 4.6 Social engineering È una forma di intrusione comune. Può essere utilizzata da utenti esterni o interni all'organizzazione. Il termine "social engineering" indica il tentativo degli hacker di indurre gli utenti a rivelare le password o altri tipi di informazioni di protezione. È necessario informare gli utenti in merito ai vari problemi relativi alla sicurezza, anche quelli non comuni. Un esempio comune di social engineering è costituito da un hacker che invia un messaggio di posta elettronica a un dipendente, presentandosi come amministratore e richiedendo la password del dipendente per effettuare delle attività 16

22 amministrative. L'utente comune, senza particolari conoscenze relative alla sicurezza, potrebbe non riuscire a distinguere un vero amministratore da un impostore, specialmente in un'organizzazione di grandi dimensioni. Un'altra strategia utilizzata per social engineering prevede che si telefoni a un utente presentandosi come amministratore e chiedendo le credenziali di accesso e la password. L'utente fornisce involontariamente i dati di accesso richiesti e l'impostore dispone di accesso completo. Tra gli hacker e gli utenti che desiderano conoscere la password di qualcuno è molto diffuso anche lo "shoulder surfing". In questo caso, si indugia nei pressi della scrivania di un utente, parlando e attendendo che l'utente digiti una password. I dipendenti malintenzionati potrebbero agire anche in questo modo. È quindi necessario informare gli utenti in modo che non digitino le password davanti ad altre persone e che modifichino immediatamente la password se sospettano che altri utenti ne siano a conoscenza. Un'altra forma di social engineering consiste nell'indovinare la password di un utente. Le persone che possono venire a conoscenza di informazioni sulla vita sociale e privata degli utenti, possono sfruttare tali informazioni. È ad esempio possibile che gli utenti scelgano come password il nome o la data di nascita di una sorella o di un figlio o il nome di un amico. Inoltre, gli utenti utilizzano spesso come password frasi che leggono sulle loro scrivanie o su poster presenti nell'area di lavoro. Gli hacker dispongono quindi di un'ulteriore opportunità di indovinare la password. 4.7 Attacchi intrusivi Gli aggressori possono introdursi in molte reti utilizzando tecniche note. Ciò si verifica spesso quando gli aggressori conoscono le vulnerabilità della rete. Nei sistemi aggiornabili, gli amministratori potrebbero non avere o non allocare il tempo necessario per installare tutte le patch richieste in una quantità elevata di host. Inoltre, in genere non è possibile associare perfettamente i criteri di un'organizzazione sull'uso del computer ai meccanismi di controllo di accesso e questo spesso consente agli utenti autorizzati di effettuare operazioni non legittime. Inoltre, gli utenti richiedono spesso protocolli e servizi di rete noti per essere difettosi e soggetti ad attacchi. Ad esempio, un utente potrebbe richiedere l'utilizzo di FTP per scaricare dei file. È molto importante che i criteri di sicurezza non prendano in considerazione solo le richieste dell'utente finale, ma anche le minacce e le vulnerabilità insite in tali richieste. In realtà, in pratica, non è mai possibile rimuovere tutte le vulnerabilità. Il rilevamento delle intrusioni è un processo che consiste nel rilevare l'utilizzo non autorizzato o l'attacco a un computer o una rete. Dal rilevamento delle intrusioni dipendono due funzioni importanti per la protezione delle risorse del sistema contenenti informazioni. 17

23 La prima funzione è costituita da un meccanismo di riscontri che informa il team di protezione dell'efficacia degli altri componenti del sistema di sicurezza. La mancanza di intrusioni rilevate indica che non sono presenti intrusioni note, non che il sistema è completamente impenetrabile. La seconda funzione consiste nel fornire un meccanismo di "trigger" o di "gating" che determini quando attivare le contromisure pianificate in caso di attacco. Un computer o una rete che non dispongono di un sistema di rilevamento delle intrusioni (IDS, Intrusion Detection System) potrebbero consentire agli aggressori di individuarne tranquillamente le debolezze. Se nelle reti sono presenti vulnerabilità, un aggressore determinato le individuerà e le sfrutterà. La stessa rete, ma con un IDS installato, rappresenta un ostacolo molto più arduo per un aggressore. L'aggressore può continuare a sondare la rete per individuarne le debolezze, ma se le vulnerabilità sono note, l'ids dovrebbe essere in grado di rilevare e bloccare questi tentativi e di avvisare il personale di sicurezza, che potrà quindi adottare le necessarie contromisure. 4.8 Attacchi di negazione di servizio Gli attacchi DoS sono progettati per impedire il legittimo uso di un servizio. Gli aggressori raggiungono questo obiettivo saturando la rete con una quantità di traffico maggiore di quella che può essere gestita. Ecco alcuni esempi: Saturazione delle risorse della rete, impedendo in tal modo agli utenti di utilizzare le risorse della rete. Interruzione delle connessioni tra due computer, impedendo le comunicazioni tra i servizi. Esclusione di un determinato utente dall'accesso a un servizio. Interruzione di servizi per un client o un sistema specifico. Gli attacchi DoS saturano una rete remota con una quantità enorme di pacchetti di dati. Ciò provoca il sovraccarico dei router e dei server, che tentano di reindirizzare o gestire ciascun pacchetto. Nel giro di alcuni minuti, l'attività della rete aumenta esponenzialmente e la rete cessa di rispondere al traffico normale e alle richieste di servizio provenienti dai clienti. Questo tipo di attacco è noto anche come attacco con saturazione della rete o attacco con elevato consumo di larghezza di banda. Gli aggressori utilizzano vari strumenti, tra cui Trin00 e Tribe Flood Network (TFN e TFN2K). 18

24 4.9 Consumo di risorse del server L'obiettivo di un attacco DoS è quello di impedire agli host o alle reti di comunicare attraverso una rete. Un esempio di questo tipo di attacco è rappresentato dall'attacco con saturazione SYN: Quando un client prova a contattare un servizio server, il client e il server si scambiano una serie di messaggi. Il client inizia inviando al server una richiesta di connessione TCP, o messaggio SYN. Il server risponde al messaggio SYN con un messaggio di riconoscimento ACK-SYN. Il client effettua quindi il riconoscimento del messaggio ACK-SYN del server con un messaggio ACK. Al termine di queste tre operazioni, la connessione tra il client e il server è aperta ed essi possono scambiarsi dati specifici del servizio. Il problema sorge quando il server ha inviato il messaggio SYN-ACK al client, ma non ha ancora ricevuto una risposta ACK dal client. In questa fase la connessione è aperta a metà. Il server tiene la connessione in sospeso in memoria, attendendo una risposta dal client. Le connessioni presenti in memoria aperte a metà scadono dopo un determinato intervallo di tempo, liberando nuovamente risorse importanti. Per creare connessioni aperte a metà, viene utilizzato lo spoofing degli indirizzi IP. Il sistema dell'aggressore invia un messaggio SYN al server della vittima. Questi messaggi sembrano essere legittimi, ma di fatto sono riferimenti al sistema di un client che non è in grado di rispondere al messaggio SYN-ACK del server. Questo significa che il server non sarà mai in grado di ricevere un messaggio ACK dal computer client. Il server ha ora connessioni aperte a metà in memoria e alla fine esaurirà le connessioni server. Il server ora non è in grado di accettare nuove connessioni. Il limite di tempo sulle connessioni aperte a metà scadrà., ma il sistema dell'aggressore continua a inviare pacchetti, di cui ha effettuato lo spoofing degli indirizzi IP, con una frequenza elevata rispetto al limite di scadenza impostato sul server della vittima. Nella maggior parte dei casi, la vittima di tale attacco avrà difficoltà ad accettare nuove connessioni in ingresso legittime. Questo tipo di attacco non riguarda in realtà alcuna delle connessioni correnti o in uscita. Utilizza in genere un'enorme quantità di memoria e di capacità di elaborazione del server, causandone il blocco. Il percorso del sistema di attacco è difficile da determinare, perché l'indirizzo del sistema dell'aggressore si cela sotto un indirizzo IP legittimo. Dal momento che la rete inoltra i pacchetti basandosi sull'indirizzo di destinazione, l'unico modo 19

25 per convalidare l'origine di un pacchetto consiste nell'utilizzare filtri delle origini di input. Questo tipo di attacco non si basa sulla capacità dell'aggressore di utilizzare la larghezza di banda della rete. In questo caso, l'intruso utilizza risorse del server importanti. Di conseguenza, un intruso può effettuare questo attacco tramite una connessione remota contro computer connessi da reti molto veloci Saturazione delle risorse della rete Un intruso potrebbe anche essere in grado di utilizzare tutta la larghezza di banda disponibile su una rete generando un numero elevato di pacchetti diretti alla rete. Si tratta in genere di pacchetti echo ICMP (Internet Control Message Protocol), ma in realtà potrebbero essere di qualsiasi altro tipo. Inoltre, l'intruso non deve necessariamente utilizzare un singolo computer, ma potrebbe coordinare o cooptare più computer su reti differenti per raggiungere lo stesso risultato. Questa strategia è nota come attacco di negazione di servizio distribuito (DDoS, Distributed Denial of Service Attack). L'ICMP viene utilizzato per trasmettere informazioni sullo stato e sugli errori, tra cui notifiche di congestione e di altri problemi relativi alla rete. L'ICMP può essere utilizzato per determinare se un computer su Internet risponde, tramite l'invio di un pacchetto di richiesta echo ICMP a un computer sulla rete. Se il computer funziona, risponderà alla richiesta inviando un pacchetto di risposta echo ICMP. Un esempio comune è costituito dal comando Ping. Sulle reti TCP/IP, un pacchetto può essere inviato a un singolo computer o trasmesso a tutti i computer sulla rete. Quando un pacchetto IP viene inviato da un computer sulla stessa rete locale a un indirizzo broadcast IP, tutti i computer su quella rete ricevono il pacchetto IP. Quando un computer esterno alla rete locale invia un pacchetto broadcast IP, tutti i computer sulla rete di destinazione ricevono il pacchetto broadcast, purché i router siano stati configurati per inoltrare i pacchetti broadcast. In questi attacchi sono coinvolte tre parti: l'aggressore, l'intermediario e la vittima. È possibile che anche l'intermediario sia una vittima. L'intermediario riceve un pacchetto di richiesta echo ICMP diretto all'indirizzo di rete broadcast IP. Se le richieste echo ICMP non vengono filtrate, tutti i computer della rete riceveranno il pacchetto di richiesta echo ICMP e risponderanno con un pacchetto di risposta echo ICMP. Quando tutti i computer rispondono a questi pacchetti, si possono verificare gravi congestioni o interruzioni della rete. Per creare questi pacchetti, gli aggressori non usano il proprio indirizzo di origine IP, ma l'indirizzo di origine della vittima predestinata. Tale azione è chiamata spoofing degli indirizzi IP. Quando i computer intermedi rispondono al pacchetto di richiesta echo ICMP, inviano quindi il pacchetto di risposta all'indirizzo IP della vittima. La rete del computer della vittima risulta quindi congestionata e potrebbe cessare di rispondere. 20

26 Gli aggressori hanno sviluppato un'ampia gamma di strumenti per questo scopo. Tali strumenti consentono agli hacker di inviare pacchetti di richiesta echo ICMP a più computer intermedi, facendo in modo che rispondano tutti all'indirizzo IP di origine della stessa vittima. Questi strumenti potrebbero anche essere utilizzati per individuare i router di rete che non filtrano il traffico broadcast. Gli attacchi DDoS prevedono la violazione di centinaia o migliaia di computer su Internet. L'aggressore installa quindi su di essi il software DDoS per controllarli e avviare attacchi coordinati contro i siti vittima. Questi attacchi saturano in genere la larghezza di banda, la capacità di elaborazione dei router e le risorse di stack della rete, interrompendo la connettività di rete delle vittime. L'aggressore inizia penetrando nei computer protetti in modo insufficiente sfruttando noti difetti dei programmi dei servizi di rete standard e la debolezza delle comuni configurazioni dei sistemi operativi. Esegue quindi altri passaggi su ciascun sistema. Innanzitutto, installa del software che consente di nascondere la violazione e le tracce della propria attività successiva. Ad esempio, sostituisce i comandi standard che consentono di visualizzare tutti processi in esecuzione con versioni che non mostrano i processi degli aggressori. Installa quindi un processo speciale che consente di controllare in modo remoto il computer violato. Questo processo accetta comandi dalla rete, consentendo all'intruso di sferrare attacchi su Internet contro i siti vittima designati. Infine, prende nota dell'indirizzo IP del computer di cui ha preso il controllo. Tutti questi passaggi sono estremamente automatizzati. Per evitare di essere scoperti, gli intrusi cominciano violando pochi siti, quindi utilizzano tali siti per introdursi in altri e ripetono questo ciclo molte volte. Quando hanno preso il controllo di migliaia di computer, riuniti in una rete DDoS, sono pronti per lanciare altri attacchi. Una volta installato il software DDoS, l'aggressore esegue un singolo comando che invia pacchetti di comandi a tutti i computer controllati, in modo da fornire istruzioni su come sferrare l'attacco, scegliendo tra un'ampia gamma di attacchi con saturazione, contro una specifica vittima. Quando l'aggressore decide di interrompere l'attacco, invia un altro comando singolo. I computer controllati utilizzati per lanciare gli attacchi inviano un flusso di pacchetti. Nella maggior parte degli attacchi, questi pacchetti sono diretti al computer vittima. In una variante, chiamata "smurf" dal primo programma in circolazione che ha effettuato questo attacco, i pacchetti sono indirizzati ad altre reti, su cui provocano echo multipli tutti diretti alla vittima, come descritto in precedenza. 21